検出

ManageEngine ServiceDesk Plus 8.0.0 < ビルド 8015 の複数の XSS 脆弱性

medium Nessus プラグイン ID 57371

Language:

概要

リモート Web サーバーは、複数のクロスサイトスクリプティング脆弱性の影響を受けるアプリケーションをホストしています。

説明

リモートホストがビルド 8015 より前の 8.0.0 のバージョンの ManageEngine ServiceDesk Plus を含んでいます。そのため、複数のクロスサイトスクリプティング脆弱性の影響を受ける可能性があります。次のページは下記のスクリプトとパラメーターへの入力を適切にサニタイズしません:

 - ページ:「AddSolution.do」パラメーター:「comments」および「keywords」

 - ページ:「AnnounceShow.do」パラメーター:「select」

 - ページ:「AddNewProblem.cc」、「ChangeDetails.cc」および「Problems.cc」パラメーター:「reqName」

 - ページ:「calendar/MiniCalendar.jsp」パラメーター:「module」

 - ページ:「HomePage.do」および「jsp/ServiceCatalog.jsp」パラメーター:「serviceID」

 - ページ:「WorkOrder.do」パラメーター:「attach」、「category」、「description」、「level」、「reqName」および「title」。

ソリューション

ManageEngine ServiceDesk Plus バージョン 8.0.0 ビルド 8015 またはそれ以降にアップグレードしてください。

参考資料

https://seclists.org/fulldisclosure/2011/Aug/221

https://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5039.php

http://www.nessus.org/u?a0eeced7

プラグインの詳細

深刻度: Medium

ID: 57371

ファイル名: manageengine_servicedesk_8_0_0_build15.nasl

バージョン: 1.11

タイプ: remote

ファミリー: CGI abuses : XSS

公開日: 2011/12/22

更新日: 2021/10/27

サポートされているセンサー: Nessus

リスク情報

CVSS スコアの根本的理由: Score based on analysis of the vendor advisory.

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.6

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS スコアのソース: manual

CVSS v3

リスクファクター: Medium

基本値: 6.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:manageengine:servicedesk_plus

必要な KB アイテム: www/manageengine_servicedesk

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2011/8/16

脆弱性公開日: 2011/8/23

参照情報

BID: 49291

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990